Проблемы с политиками безопасности в Windows 2000 Server

_Dzen_ · Отправлено: **14:17, 06-04-2006** | #11

RaZZoRRo
Применительно к w2ks этот инструмент называется RecreateDefPol.exe
С помощью него и попали в эту ситуацию, как я понял из объяснений. Сбрасывал политику повторно, не помогает.
В данный момент интересует механизм применения шаблонов безопасности. Почему руками можно править файлы политик, а через оснастку GPO нельзя? Мне кажется, в этом суть решения и есть. Кто бы прояснил...

_Dzen_ · Отправлено: **12:43, 07-04-2006** | #12

дубль

Goblin34 · Отправлено: **11:02, 08-04-2006** | #13

Есть в политике параметр, кому можно редактировать GP, посмотрите его. А также интересно, кто имеет доступ на запись к файлам SYSVOLа (SYSTEM, кто из администраторов)
{путь} - проверили? может одна буковка не сходится? Предыдущий админ переименовал?

Цитата:

руками я могу править файлы политик

- пробовали исправить и сохранить?
А предыдущий делал dcgpofix.exe или в том мануале с microsoft.com как-то по-другому? Тогда точно стоит прислушаться к раЗЗорро...

_Dzen_ · Отправлено: **15:50, 12-04-2006** | #14

Все еще бьюсь, решил на характер одолеть непокорную софтину

Инструмента dcgpofix.exe нет для w2k. А есть RecreateDefPol.exe, которая не помогает.

Gpotool выдает такое:

Цитата:

Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Error: GPO on DC2.domain.local contains user data but version is 0
Error: GPO on DC1.domain.local contains user data but version is 0
Policy OK

Расшифруйте, плз, как поменять версию. По мануалам она не может быть равной 0. А вот как изменить, нигде не нашел...

Еще вот чего есть:

Цитата:

Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Error: DC2.domain.local - DC1.domain.local sysvol mismatch

{7F636AA6-03E0-4278-BA73-87EDC1AAF101}
Error: DC2.domain.local - DC1.domain.local sysvol mismatch

О чем говорят эти ошибки? Я подозреваю, что на двух контроллерах различные версии GPO, т.е. не реплицируются изменения в GPO. Тогда почему в логах чисто и dcdiag не выдает предупреждений? А если тупо синхронизировать папки sysvol на обоих контроллерах? Не обвалится ничего, интересно..?
Есть ли у кого способ побороть эту ошибку?

RaZZoRRo · Отправлено: **21:27, 12-04-2006** | #15

2 _Dzen_

а можно результат выполнения gptool /verbose

_Dzen_ · Отправлено: **09:34, 13-04-2006** | #16

Цитата:

Domain: domain.local
Validating DCs...
DC2.domain.local: OK
DC1.domain.local: OK
Available DCs:
DC2.domain.local
DC1.domain.local
Searching for policies...
Found 7 policies
============================================================
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Error: GPO on DC2.domain.local contains user data but version is 0
Error: GPO on DC1.domain.local contains user data but version is 0
Policy OK
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: Default Domain Policy
Created: 13.06.2002 15:11:42
Changed: 04.04.2006 11:16:58
DS version: 0(user) 5(machine)
Sysvol version: 0(user) 5(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}][{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: Default Domain Policy
Created: 13.06.2002 15:11:42
Changed: 04.04.2006 11:14:55
DS version: 0(user) 5(machine)
Sysvol version: 0(user) 5(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}][{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {4C834C6B-C760-4E4E-9C39-373D49F87D6D}
Policy OK
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: New Domain Policy
Created: 09.03.2006 11:11:37
Changed: 04.04.2006 4:32:28
DS version: 1(user) 1(machine)
Sysvol version: 1(user) 1(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: New Domain Policy
Created: 09.03.2006 11:11:37
Changed: 04.04.2006 4:27:28
DS version: 1(user) 1(machine)
Sysvol version: 1(user) 1(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {5AD04355-9E21-43DA-ABF2-77FE69CC4966}
Error: DC2.domain.local - DC1.domain.local sysvol mismatch
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: powerusers
Created: 26.05.2004 8:28:41
Changed: 26.05.2004 8:31:10
DS version: 1(user) 0(machine)
Sysvol version: 1(user) 0(machine)
Flags: 0
User extensions: not found
Machine extensions: not found
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: powerusers
Created: 26.05.2004 8:28:41
Changed: 13.07.2005 9:42:17
DS version: 1(user) 0(machine)
Sysvol version: 1(user) 0(machine)
Flags: 0
User extensions: not found
Machine extensions: not found
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Error: DC2.domain.local - DC1.domain.local sysvol mismatch
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: Default Domain Controllers Policy
Created: 13.06.2002 15:11:42
Changed: 03.04.2006 12:27:46
DS version: 0(user) 3(machine)
Sysvol version: 0(user) 3(machine)
Flags: 0
User extensions: not found
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: Default Domain Controllers Policy
Created: 13.06.2002 15:11:42
Changed: 03.04.2006 12:25:20
DS version: 0(user) 3(machine)
Sysvol version: 0(user) 3(machine)
Flags: 0
User extensions: not found
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {7F636AA6-03E0-4278-BA73-87EDC1AAF101}
Error: DC2.domain.local - DC1.domain.local sysvol mismatch
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: Default Site Policy
Created: 04.04.2006 6:13:25
Changed: 04.04.2006 10:46:58
DS version: 0(user) 0(machine)
Sysvol version: 0(user) 0(machine)
Flags: 0
User extensions: not found
Machine extensions: not found
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: Default Site Policy
Created: 04.04.2006 6:13:25
Changed: 04.04.2006 10:42:43
DS version: 0(user) 0(machine)
Sysvol version: 0(user) 0(machine)
Flags: 0
User extensions: not found
Machine extensions: not found
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {AD717D2A-156C-4151-A6D1-7FD1B2BA5AA5}
Policy OK
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: Test policy
Created: 11.11.2005 10:47:21
Changed: 11.11.2005 11:06:07
DS version: 0(user) 5(machine)
Sysvol version: 0(user) 5(machine)
Flags: 0
User extensions: not found
Machine extensions: [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: Test policy
Created: 11.11.2005 10:47:21
Changed: 11.11.2005 11:09:50
DS version: 0(user) 5(machine)
Sysvol version: 0(user) 5(machine)
Flags: 0
User extensions: not found
Machine extensions: [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {F5308753-CAB2-4957-BDB4-547995CEF7E0}
Policy OK
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: DameWare
Created: 30.01.2006 15:34:54
Changed: 09.02.2006 7:10:22
DS version: 6(user) 11(machine)
Sysvol version: 6(user) 11(machine)
Flags: 0
User extensions:
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: DameWare
Created: 30.01.2006 15:34:54
Changed: 09.02.2006 7:15:21
DS version: 6(user) 11(machine)
Sysvol version: 6(user) 11(machine)
Flags: 0
User extensions:
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------

Errors found

Политики New Domain Policy, Test Policy и DameWare были удалены, но GUIDы их (и собственно они сами) остались почему-то в sysvol.

RaZZoRRo · Отправлено: **10:53, 13-04-2006** | #17

_Dzen_

хммм ........
интересные у вас вещи происходят :

Цитата:

DC: DC2.domain.local
Friendly name: Default Domain Policy
Created: 13.06.2002 15:11:42
Changed: 04.04.2006 11:16:58
DS version: 0(user) 5(machine)
Sysvol version: 0(user) 5(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}][{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: Default Domain Policy
Created: 13.06.2002 15:11:42
Changed: 04.04.2006 11:14:55
DS version: 0(user) 5(machine)
Sysvol version: 0(user) 5(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}][{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
Functionality version: 2

Flags: 0 - здесь все хорошо
Functionality version: 2 - тоже нормально (главное что бы не меньше 2)
репликация между контроллерами домена проходит , репликация с AD тоже проходит .....

но, что вызывает опасения : DS version: 0(user) , то соответственно и User extensions: "должен быть " not found

у вас к "user ам " применяется какие либо сценарии??????

_Dzen_ · Отправлено: **11:36, 13-04-2006** | #18

Цитата:

у вас к "user ам " применяется какие либо сценарии??????

Да собственно один скрипт, прицеплен в Default Domain Policy как logon-скрипт, применяется к машинам, Конф. Компьютера - Конф. Windows - Сценарии - Автозагрузка. А можно поподробнее про 0(user)? В политике {31B2F340-016D-11D2-945F-00C04FB984F9} посмотрел GPT.ini, там версия 5. А версию user-ветки где смотреть?
Где про этот механизм оперативно почитать? У Зубанова в книге про AD вроде было, но сейчас не найду что-то...

RaZZoRRo · Отправлено: **11:40, 13-04-2006** | #19

2 _Dzen_

Ф.Зубанова можно взять здесь :
http://rapidshare.de/files/7028926/Z...s.ru_.rar.html

у него да действительно было и есть ....

_Dzen_ · Отправлено: **13:25, 13-04-2006** | #20

Цитата:

у вас к "user ам " применяется какие либо сценарии?

Пока Зубанова листаю, поясните этот вопрос вкратце, плз